[tor-relays-fr] Retour sur les relais malicieux

Corl3ss corl3ss at corl3ss.com
Lun 5 Oct 19:48:14 UTC 2020 

Hello,

Actualisation suite à 3 retours supplémentaires.


On Wed, Sep 30, 2020 at 03:44:19PM +0200, Corl3ss wrote:
> Suite aux questions soulevees notamment avec Chre et Casper sur 
> [1] https://lists.torproject.org/pipermail/tor-relays/2020-July/018643.html                                                                      
> [2] https://lists.torproject.org/pipermail/tor-relays/2020-August/018817.html             
>                                                        
> c'est-à-dire sur le sujet des noeuds "malicieux"
> 
> j'ai posté un message sur tor-relay pour avoir plus d'infos.
> 
> Une seule réponse à date.

Trois autres reponses depuis (une de Nusenu, une de Mike Perry - Tor Project, une de Georg Koppen - Tor Project).

> # Questions avec réponse :
> 
> 1. le SSL-striping mené par ces noeuds doit-il nous inquiéter pour les autres protocoles que HTTPS utilisant aussi SSL ?
> A priori non. Sur le principe le SSL-stiping bloquant le SSL, les protocoles sensibles sont ceux qui ont un recours sans SSL, typiquement HTTPS qui passe en HTTP. SSH, IMAPS ou SMPTS ne sont pas directement concernés.
> 
> Remarque perso : pertinent à mon avis, je nuancerai tout de même car certains serveurs mail prévoient des connexions sans SSL si besoin. Par contre il faut souvent intervenir manuellement sur la config client.
> 

Nusenu pense clairement qu'il y a des raisons de s'inquiéter. Pour lui le SSL-striping se détecte facilement côté utilisateur donc c'est finalement le moins risqué... Il ne précise pas les autres risques.

> 2. Faut-il rester vigilant ? recenser les cas rencontrés ?
> Oui, mais clairement réponse par principe de précaution.
> 
> # Questions sans réponse : 
> 
> 3. des nouveaux noeuds "malicieux" ont-ils été recensés ?

Nusenu pense que oui, que le groupe a l'origine des noeuds de son précédent article est toujours actif sur un nombre important de noeuds (plus de 100). Il pense aussi que ce n'est pas le seul groupe et qu'il faut se méfier d'autres, peut-être encore plus dangereux.
Il pointe vers https://medium.com/@nusenu/how-malicious-tor-relays-are-exploiting-users-in-2020-part-i-1097575c0cac

> 4. des nouveaux dev / nouvelles précautions sont-elles en cours / à venir ?

Rien à date selon les 3 interlocuteurs. 
Par contre Mike Perry annonce que Tor Project vient d'obtenir des fonds pour une équipe qui travaillera sur le bon état du réseau, cela ne recouvre pas directement le sujet des noeuds malicieux, mais pourrait permettre d'y passer un peu de temps. A prendre au conditionnel. D'autant plus que Georg Koppen vient contredire ce point, à son avis aucune équipe affectée à cela.

> 5. sur quels critères précis les noeuds malicieux ont-ils été recensés ?
>

De Nusenu : détection de manipulation du traffic.




A titre perso j'ai envie de creuser le sujet. J'essaie de voir avec Nusenu. Si certains ont un intérêt particulier, n'hésite pas à faire signe :)


A bientôt


Corl3ss
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 488 octets
Desc: non disponible
URL: <http://lists.torproject.org/pipermail/tor-relays-fr/attachments/20201005/920a606b/attachment.sig>

More information about the tor-relays-fr mailing list